Anti-Spam-Waffe „Sender ID“: Microsoft geht in die Offensive

Werden solche Technologien zur Authentifizierung von E-Mails allgemein eingeführt, können sie dazu beitragen, dass Benutzer prüfen können, ob eine angeblich von ihrer Bank stammende E-Mail auch wirklich von ihrer Bank abgeschickt wurde. Authentifizierung allein wird Junk- und Spoof-Mails zwar nicht stoppen, sie kann aber dafür sorgen, dass Spam-Filter effizienter arbeiten, indem sie Domänen auf der Basis der abgeschickten E-Mails bewerten können.

Allerdings haben AOL und Ebay, zwei weitere frühe Anwender von E-Mail-Authentifizierung, noch nicht viele echte Resultate damit erzielt, wie Unternehmenssprecher sagten. Bei AOL gehen große Mengen von E-Mails für seine über 20 Millionen Abonnenten ein und Ebay versendet über 1 Milliarde E-Mails jeden Monat.

ÜBERSICHT: E-MAIL-ID Informationen über die wichtigsten Techniken, die zur E-Mail-Säuberung anhand der Identifikation der Quelle angewandt werden: SENDER ID Führt zwei frühere Sicherheitstechnologien zusammen: Caller ID for E-Mail, die Microsoft im Februar 2004 einführte, und SPF, die Meng Wong entwickelte. Mit Sender ID konforme E-Mails erfordern einen SPF-Eintrag in einem Datensatz eines Domänennamensystems, um gültige Rechner, die Mails von der jeweiligen Domäne abschicken, zu identifizieren. SPF Kürzel für Sender Policy Framework. Beide Hauptversionen von SPF-Datensätzen sind mit Sender ID konform, doch prüfen sie unterschiedliche „von“-Adressen. SPF 1 prüft die Absenderinformationen, die in den E-Mail-Umschlagsdaten enthalten sind und normalerweise nur von E-Mail-Systemen ausgelesen werden. SPF 2 prüft den „von“-Namen, der dem Benutzer angezeigt wird. Branchenexperten empfehlen Unternehmen, beide zu publizieren und zu benutzen. DKIM Verbindet Yahoos DomainKeys mit Internet Identified Mail von Cisco Systems. DKIM, oder auch DomainKeys Identified Mail, beruht auf einer Public-Key-Verschlüsselung. Es hängt eine digitale Signatur an ausgehende E-Mails an, so dass die Empfänger prüfen können, ob diese tatsächlich von der angegebenen Quelle stammen.

„Ich denke, dass allmählich klar wird, wo die Authentifizierung effizient ist und wie sie effizient sein kann, aber sie befindet sich noch immer in einem frühen Stadium“, so Hani Durzy von Ebay.

Die E-Mail-Authentifizierung wurde äußerst kontrovers diskutiert, was ihren Einsatz verzögerte. Die Beteiligung von Microsoft führte zu Bedenken in Hinblick auf das Urheberrecht und das Unternehmen wurde beschuldigt, Sender ID mit der Brechstange durchsetzen zu wollen, obwohl immer noch Alternativen diskutiert werden und Standards fehlen.

„Die Wogen haben sich geglättet, der Staub hat sich gelegt“, sagte Spiezle und fügte hinzu, dass der Bereich der E-Mail-Authentifizierung heute viel klarer sei als vor einem Jahr. „Aufgrund der Kontroversen und des Fehlens harter Daten haben viele Unternehmen die Thematik gar nicht wahrgenommen. Doch jetzt wollen sie weiterkommen.“

Beim Authentication Summit in Chicago, den Microsoft teilweise sponserte, versuchte die Technologie-Branche die Aufmerksamkeit der Fortune 500-Unternehmen auf das Thema E-Mail-Authentifizierung zu lenken. Große Fluggesellschaften, Finanzinstitutionen und Versicherungsgesellschaften waren nach Ansicht von Spiezle auf der Suche nach Orientierung und Beratung.

Unternehmen mit Online-Geschäften bemühen sich außerdem um eine Bekämpfung des Phishing, die vorherrschende Form von Online-Betrug, bei der Phisher versuchen, sensible Informationen wie Benutzernamen, Passwörter und Kreditkartennummern zu stehlen. Dabei werden normalerweise gefälschte Spam-Mails und Webseiten, die wie originale Websites aussehen, kombiniert.